Imagine dos empresas con la misma política sobre su inteligencia artificial, palabra por palabra: qué puede decir el sistema, qué datos puede tocar, qué tiene prohibido prometer. En la primera, la política es un documento que se redactó, se firmó y se archivó. En la segunda, la política corre dentro del sistema: cada respuesta pasa por un control que la aplica antes de llegar a nadie. Sobre el papel, las dos «cumplen». La diferencia no se ve en la auditoría de este año — se ve el día en que el sistema intenta decir lo que no debe. En la primera empresa, lo dice. En la segunda, no sale.
Esa distancia —entre la política que describe y el control que actúa— es probablemente la idea más útil que un decisor puede llevarse sobre el cumplimiento en inteligencia artificial. Porque casi toda la conversación sobre «cumplir con la IA» trata de documentos: qué hay que redactar, qué hay que poder enseñar. Y los documentos importan. Pero un sistema que produce respuestas nuevas cada minuto no se gobierna con un archivo: se gobierna con controles que corren a su misma velocidad.
Una política en un cajón no detiene nada
El patrón es conocido en otros dominios. Ninguna empresa seria protege sus pagos con una circular que dice «no transferir sin autorización»: pone la autorización dentro del proceso, de forma que la transferencia sin firma no puede ejecutarse. La política describe el control; el control es lo que impide. Con la inteligencia artificial, sin embargo, la mayoría de las organizaciones está todavía en la fase circular: existe un documento que dice lo que el sistema no debe hacer, y nada entre ese documento y la próxima respuesta del sistema.
El problema se agrava por una particularidad de la IA: el sistema no repite un guion aprobado; genera texto nuevo cada vez. Un control que revisa «el contenido» una vez al trimestre revisa contenido que ya salió. Para que la regla llegue a tiempo, tiene que estar donde la respuesta se produce.
Un límite legal construido como ingeniería
Cómo se ve eso en la práctica lo mostramos con nuestro propio caso, porque opera en uno de los terrenos más exigentes: Strahlkraft40+, un sistema de inteligencia artificial en producción en sanidad regulada alemana. En ese sector, la frontera de lo que una IA puede decir está fijada por ley: hay afirmaciones de salud que la normativa de publicidad sanitaria prohíbe, y un sistema que conversa sobre salud las tiene a un paso en cada respuesta.
En Strahlkraft40+, esa frontera no es letra chica: es ingeniería. Las instrucciones que gobiernan el sistema fijan lo que no puede afirmar; un filtro aparte revisa cada respuesta después de generarse —sustituye los términos que la ley no permite, elimina las formulaciones prohibidas— antes de que llegue a la persona; y hay pruebas automáticas que verifican que ese filtro sigue funcionando tras cada cambio. El sistema, además, responde con honestidad estructural a la pregunta directa: si se le pregunta si es una inteligencia artificial, lo confirma — porque así está diseñado, no porque lo prometa una nota legal. Y el mismo principio gobierna sus datos: la protección no está en un anexo, sino en el funcionamiento — minimización en la propia memoria del sistema, control de consentimiento para datos sensibles, borrado en cascada. Las tres capas del mecanismo —instrucción, filtro, prueba— las desmontamos pieza a pieza en Las reglas que su IA obedece.
El detalle que conviene retener: el sistema no diagnostica, y ese límite es deliberado. Un sistema gobernado no es el que lo hace todo; es el que sabe —por diseño— lo que no le corresponde, y lo cumple todas las veces.
Lo que el reglamento europeo pide, leído con estos ojos
Con esa distinción en la mano, partes del reglamento europeo se leen distinto. El artículo 50 exige que los sistemas de IA destinados a interactuar con personas estén diseñados y desarrollados de forma que la persona sepa que interactúa con una IA (Fuente: Reglamento (UE) 2024/1689, art. 50, EUR-Lex, 2024). La redacción no es casual: no pide una advertencia en las condiciones de uso — pide que el diseño lo garantice. Es un requisito de ingeniería con nombre de requisito de transparencia.
Lo mismo ocurre con el sistema de gestión de calidad que la ley exige para el alto riesgo (art. 17): se documenta por escrito, sí, pero lo que se documenta son procedimientos que tienen que estar operando — la gestión de datos, el tratamiento de riesgos, el registro de eventos. Quien fabrica los documentos sin los controles tiene una descripción de un sistema que no existe; el recorrido completo de esa secuencia está en Cómo cumplir el reglamento de IA, paso a paso. Nuestra lectura, que es también nuestra forma de trabajar: el orden correcto es construir el control dentro del sistema y dejar que el documento lo describa — nunca al revés.
Tres preguntas para saber si su cumplimiento corre o duerme
No hace falta auditoría para situarse. Tres preguntas bastan, y usted puede hacerlas esta semana:
- Si la regla cambiara mañana —un término que ya no se puede usar, un dato que ya no se puede tocar—, ¿qué habría que modificar: un documento que el sistema obedece, o la costumbre de cada persona que lo usa?
- ¿El control actúa antes o después? ¿Hay algo entre lo que el sistema genera y lo que llega a las personas — o el primer revisor es el destinatario?
- ¿Alguien podría probarlo hoy? Si le pidieran demostrar, esta tarde, que la prohibición más importante de su política se está aplicando, ¿enseñaría un mecanismo funcionando o un PDF con fecha del año pasado?
Quien responde bien a las tres no tiene un problema de cumplimiento, aunque le falte papel: tiene los controles, y describirlos es trabajo menor. Quien responde mal tiene el problema aunque el papel esté impecable — porque la política de cajón protege exactamente hasta el día en que hace falta.